1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-381 Vulnerabilidad al cargar el Avatar de FUDforum.

Se reportó una vulnerabilidad en FUDforum que puede explotarse para comprometer un sistema vulnerable.

  • Fecha de Liberación: 30-Ago-2005
  • Fuente: riklaunim
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Mal diseño.

Sistemas Afectados

FUDforum 2.7.1
  1. Descripción

    riklaunim reportó una vulnerabilidad en FUDforum que puede explotarse por personas maliciosas para comprometer un sistema vulnerable.

    • La vulnerabilidad es ocasionada por la falta de restricciones del tipo de archivos que los usuarios pueden cargar como sus imagenes de avatar. Esto puede expotarse para cargar archivos scripts maliciosos (por ejemplo scripts de PHP) dentro del directorio raíz de web.

      Una explotación exitosa requiere que los usuario stengan permitido personalizar sus avatars (En la configuración inicial el administrador debe aprovar si se aplican nuevos avatars).

    La vulnerabilidad fue confirmada en la versión 2.6.15. Versiones anteriores también podrián ser afectadas.

  2. Impacto

    Acceso al sistema.

  3. Solución

    Actualizar a la versión 2.7.1 o mayor.
    http://fudforum.org/download.php

    No permitir a los usuarios personalizar sus avatars.

  4. Apéndices

    Mayor información.

    http://fudforum.org/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT